Come oramai noto, il decreto-legge 21 settembre 2021, n. 127, intervenendo sul decreto-legge 52/2021, estende ulteriormente l’ambito di applicazione dell’obbligo di certificazione verde COVID-19, c.d. green pass, al mondo del lavoro privato.

Dato il particolare interesse per l’estensione dell’obbligo di green pass ai lavoratori del settore privato, verifichiamo gli impatti sul Modello Organizzativo Privacy derivanti dall’applicazione dell’art. 3 del decreto-legge 127/2021.

Verifica del green pass e certificazione di esenzione: è un trattamento di dati personali?

Vediamo rapidamente cosa dice al riguardo il Regolamento UE 2016/679 (GDPR):

  • Dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile;
  • Trattamento è anche la semplice consultazione di un dato personale.

La risposta, quindi, non può che essere affermativa: la lettura di un green pass o di una certificazione di esenzione vaccinale da parte di un Incaricato è senz’altro un trattamento di dati personali grazie al quale il datore di lavoro viene a conoscenza di informazioni che riguardano il Lavoratore.

Una premessa

Prima di mettere mano al Modello Privacy, è altamente consigliato predisporre il documento chiave del sistema di controlli green pass e certificazioni di esenzione: la procedura che individua le “modalità operative per l’organizzazione delle verifiche” (art. 3, comma 3 decreto-legge 127/2021). Dopo un privacy check della stessa, possiamo quindi passare ad occuparci della privacy compliance aziendale.

Come intervenire sul Modello Privacy aziendale (MOP)

Essendo, pertanto, in presenza di un nuovo trattamento di dati personali (verifica green pass e certificato di esenzione vaccinale ai fini dell’accesso ai luoghi di lavoro), è necessario intervenire con un aggiornamento del MOP (Modello Organizzativo Privacy) aziendale partendo da un dettagliato data mapping fino ad arrivare alle informative agli Interessati passando per la corretta formalizzazione dei rapporti con tutti i soggetti coinvolti.

Ma andiamo per gradi.

Punto 1: idee chiare sul nuovo trattamento

Il primo step si chiama data mapping, ovvero: fare una fotografia il meno sgranata possibile del nuovo trattamento che descriva:

  • Le finalità del trattamento
  • Gli Interessati
  • Le categorie e le tipologie di dati coinvolti
  • Le basi giuridiche del trattamento
  • Una descrizione delle misure di sicurezza sia organizzative che informatiche e fisiche a protezione dei dati
  • I tempi di conservazione dei dati
  • I soggetti con cui i dati saranno condivisi (all’interno e, eventualmente, all’esterno dell’Azienda).

Informazioni, queste, che ci permetteranno di aggiornare il Registro delle attività di trattamento (art. 30 GDPR) e procedere con l’invio della circolare a tutto il Personale con la quale comunicare nel modo più chiaro ed efficace possibile quali saranno le modalità e le conseguenze dei controlli che l’Azienza attiverà a partire dal 15 ottobre.

Punto 2: analisi dei rischi

Il GDPR al riguardo non lascia spazio a dubbi: prima di iniziare un trattamento, dobbiamo analizzare il “rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 GDPR). L’analisi dei rischi ci permette di comprendere ulteriormente il trattamento, considerandolo dalla prospettiva degli Interessati e delle probabilità e gravità dei danni che potrebbero subire come conseguenza del trattamento stesso. Lo scopo ultimo di tale analisi e decidere come proteggere in maniera adeguata i diritti e le libertà degli Interessati coinvolti (fare formazione? Garantire maggiore distanziamento in fase di controlli? Assegnare un cassetto chiudibile a chiave agli Incaricati? Etc.)

Punto 3 : formalizzare i ruoli dei soggetti coinvolti

Gli Incaricati, una volta formalmente delegati ai controlli, vanno designati quali autorizzati al trattamento. Si tratta della nomina dell’autorizzato o designato al trattamento prevista dal combinato disposto di cui art. 2 quaterdecies Codice privacy e art. 29 GDPR. La stessa ha lo scopo di istruire nel dettaglio gli Incaricati circa le operazioni da compiere nell’atto di verifica. La nomina dell’autorizzato si pone, in tale logica, come misura organizzativa di cui all’art. 32 del GDPR e implica che il soggetto autorizzato o designato segua nel dettaglio le istruzioni impartite. Tra queste istruzioni rientra sicuramente le modalità di lettura del QRCode o del certificato di esenzione vaccinale che deve essere predisposta nella modalità meno invasiva possibile per la riservatezza dell’interessato.

E se la verifica viene delegata ad un fornitore?

Anche in questo caso, il ruolo del fornitore va formalizzato ai fini privacy con la sua designazione a Responsabile del trattamento (art. 28 GDPR), contratto col quale il fornitore si obbliga a procedere nel trattamento dei dati con le modalità specificate dall’Azienda, nel rispetto, quindi, della procedura che individua le “modalità operative per l’organizzazione delle verifiche”

Punto 4: formazione degli Incaricati alle verifiche

Una designazione degli autorizzati senza il supporto della consapevolezza è ben poca cosa: la formazione diventa una misura organizzativa fondamentale (art. 32 GDPR) e deve essere erogata contestualmente o, meglio, in un momento precedente la consegna della nomina a soggetto autorizzato al trattamento. Formazione che deve essere accompagnata da un questionario finale di valutazione del grado di apprendimento e dall’aggiornamento del registro della formazione privacy aziendale.

Punto 5: trasparenza

Ed eccoci arrivati all’adempimento principe del GDPR: l’informativa.

Analizzati i flussi di dati, aggiornato il registro e formalizzati correttamente tutti i rapporti coi soggetti coinvolti, sempre prima di iniziare il trattamento dobbiamo predisporre l’informativa che, in questo caso sarà su due livelli:

  • Informativa breve in prossimità del green pass checkpoint che rimanda ad una
  • Informativa completa da mettere a disposizione degli Interessati.

L’informativa breve potrebbe essere esposta sotto forma di cartellonistica e deve essere ben visibile prima del punto di controllo green pass o esenzione vaccinale in modo da rendere edotti gli Interessati di come i loro dati saranno trattati. L’informativa breve deve essere una sintesi di quella completa e comunicare con estrema semplicità i punti chiave del trattamento: chi è il titolare, i suoi dati di contatto e quelli del DPO, se presente, quali dati saranno trattati e per quali finalità, se saranno conservati e condivisi con terzi, i diritti esercitabili.

L’informativa completa entrerà nel dettaglio nella descrizione dei trattamenti e dovrà essere predisposta conformemente agli artt. 13 e 14 GDPR.

Green pass e obblighi privacy: è tutto?

Al netto dei due adempimenti espressamente previsti dall’art. 3 del decreto-legge 127/2021 (modalità operative per l’organizzazione delle verifiche e atto formale di nomina dei soggetti incaricati delle verifiche), a integrazione della procedura di verifica e dell’aggiornamento del Modello Privacy, almeno altri due documenti emergono quali indispensabili:

  • Il registro delle verifiche da assegnare agli Incaricati ai controlli su cui annoteranno le persone controllate, luogo e data della verifica, e, in caso di accesso negato, potranno registrare i motivi e le eventuali dichiarazioni dell’Interessato;
  • Il modulo di impedito accesso, da rilasciare su richiesta all’Interessato in caso di accesso negato su cui indicare luogo ora della verifica oltre che i motivi dell’esito negativo della verifica.

Si tratta di diversi obblighi che, se non correttamente impostati, comportano sanzioni non indifferenti. Per essere sicuri di non trascurare nulla, oltre ad un adeguato software che semplifichi la gestione della privacy, spesso può essere utile affidarsi alla consulenza specialistica di esperti.

A cura di Paolo Mazzolari
GDPR Zucchetti Consultant


Vuoi saperne di più su come gestire il Green Pass in azienda?

Scopri le soluzioni

Taggato come: